[发明专利]一种针对单张人脸查询次数受限攻击的防御方法及防御装置

说明书

本发明公开了一种针对单张人脸查询次数受限攻击的防御方法及防御装置，包括：首先，利用已知黑盒攻击对单张初始人脸图像进行模拟攻击，记录反问分类器次数。然后，用相同黑盒攻击再现次数受限攻击，并完成不段优化，直至攻击成功。最后通过计算比较相应的损失以及对抗人脸的攻击强弱，达到对有效攻击程度不同的特征进行针对性优化防御的效果。该防御方法及防御装置提高人脸分类器对次数受限攻击产生的对抗样本的防御能力。

技术领域

本发明属于深度学习安全技术领域，具体涉及一种针对单张人脸查询次数受限攻击的防御方法及防御装置。

背景技术

深度学习受神经科学启发而来，可以通过学习和计算大量数据的潜在联系，获得比一般算法更准确的分类结果，具有强大的特征学习能力和特征表达能力。而随着深度学习在视觉辨析、语音识别、金融欺诈检测、身份鉴定以及恶意软件检测等的各种领域的深入应用，深度学习的安全问题越来越受到人们的关注。

虽然深度学习在计算机视觉领域表现出很强大的分类能力，但是szegedy等人发现，深度模型很容易对某些细微的扰动出现错误的判断。这些细小的扰动对于人类视觉系统来说是几乎无法察觉的，但却可以使得深度模型分类错误，甚至对错误的分类结果表现出很高的置信度。这种现象便会容易导致身份鉴定系统识别错误，从而使罪犯逃脱：以及发生无人驾驶系统无法识别标示，从而发生车祸等情况。特别是，因为人脸识别领域关系到重要数据，深度学习应用在人脸识别领域时，更加应该提高对模型的安全问题的重视。

对于一些实现人脸分类的黑箱模型而言，虽然内部结构的不可见已经大大增加了攻击的困难性，但是目前已经存在了多种攻击方法对黑盒展现出强大的攻击能力。此时，除了添加某些防御攻击的方法，能够有效抵抗攻击以后，还有模型对单张人脸查询次数的限制能够对黑盒攻击起到警示效果。因此，已有的大部分防御技术，忽略了增强模型，对某些访问次数要求过高的黑盒攻击的鲁棒性。但是，在次数受限攻击下，对抗样板不仅能够糅合各种黑盒攻击特性，而且能有效地降低单张人脸对模型的访问次数，不仅绕过了模型本身的警示效果，还能有效提高，那些因为访问次数被防御方法忽略，却有着非比寻常危害能力的黑盒攻击的攻击成功率。所以，为了预防在次数受限情况下，对单张人脸的不同特征进行转移攻击，需要分析不同特征的危险性，并且酌情采取针对性防御。

同时，通过对次数受限攻击的再现，评估不同特征的危险性，也是我们防御效果好坏的一个重要决定因素。

综上所述，如何对次数受限攻击完成再现，得到效果更好的对抗样本，并采取相应的防御方法，在提升图像分类黑盒模型对次数受限攻击防御效果方面上有着极其重要的理论与实践意义。

发明内容

为了提高人脸分类器对次数受限攻击产生的对抗样本的防御能力，本发明提供了一种针对单张人脸查询次数受限攻击的防御方法及防御装置。

为实现上述发明目的，本发明提供了一种针对单张人脸查询次数受限攻击的防御方法，包括以下步骤：

(1)将初始人脸图像输入至人脸分类器中，采用黑盒攻击方法对初始人脸图像进行全局攻击，得到对抗人脸图像，攻击成功时，记录人脸分类器被访问次数和对抗人脸图像的置信度；

(2)采用相同的分割方式将初始人脸图像和对抗人脸图像分割成多个分割区域，根据分割区域特征与初始人脸图像的差异确定初始扰动；

(3)选择与分割区域个数相同的不同人脸图像，采用一对一的方式将初始人脸图像对应的分割区域添加到不同人脸图像上，形成合成人脸图像；

(4)将合成人脸图像输入至人脸分类器中，采用黑盒攻击方法对合成人脸图像中的分割区域进行部分攻击，得到对抗合成人脸图像，攻击成功时，记录人脸分类器被访问次数和对抗合成人脸图像的置信度；

(5)根据对抗合成人脸图像和初始人脸图像的差异确定新扰动；